Antimalware Doctor und weitere entfernt, aber GMER hängt. Sauber?
 

Ich versuche, das Notebook von einem Freund zu entwanzen. Er hat Vista 32-Bit drauf und sich den Antimalware Doctor und noch andere Malware eingefangen. Außerdem bringt Vista sofort die Meldung "Kritischer Fehler, System wird heruntergerfahren" sobald man online geht. Das Herunterfahren habe ich in der Systemsteuerung abgestellt, aber es ist wohl ein Hinweis darauf, dass etwas noch nicht in Ordnung ist auf dem System.

Zunächst habe ich ein wenig planlos herumgedoktert (bevor ich auf dieses Forum stieß), mit Malwarebytes einen einen Komplettscan gemacht und ein paar Funde entfernt.

Jetzt habe ich nochmal komplett alle Schritte von vorne gemacht, d.h. mit CCleaner aufgeräumt, neu gebootet, Malwarebytes aktualisiert und einen Komplettscan gemacht und RSIT laufen lassen. Hier sind die Resultate:

Anschließend wollte ich mit GMER nach Rootkits suchen, aber GMER scheint irgendwann einzufrieren. Wie wäre das weitere Vorgehen?

Vielen Dank.

Nachtrag: Antivir Guard hatte ich ausgestellt und in GMER die Option IAT/EAT deaktiviert. GMER hängt bei \Cdfs. Danach ist keine Aktivität mehr bei der Platten-LED und der Rechner reagiert auf nichts (Alt-Tab, Ctrl-Alt-Del) mehr.

Sobald der Rechner eine Netzwerkverbindung hat, kommt ein Popup "Kritischer Fehler" und er fährt sich herunter.

Hier die installierten Programme laut CCleaner.
Hm, wollte gerade einen Screenshot der "Kritscher Fehler" Meldung probieren, aber diesmal kam sie gar nicht. Eine Netzwerkverbindung besteht (ping www.heise.de klappt), aber Windows Update meldet: Es konnte nicht nach neuen Updates gesucht werden. Fehler bei der Suche nach neuen Updates für Ihren Computer. Code 80072EFD Unbekannter Fehler.

Hallo und :hallo:

Es fehlt noch die info.txt von RSIT, die findest du im Ordner C:\rsit.

Deinstalliere vorab: Favorit

Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread.

ciao, andreas

Hallo und danke, dass Du Dich meines Problems angenommen hast.

Info.txt

RSIT Logfile:RSIT Logfile:RSIT Logfile:
--- --- ---

RootRepeal wirft beim Start diesen Fehler: http://img517.imageshack.us/img517/3739/77093838.png

Danach kommt man zum Startbildschirm, aber ein Versuch zu scannen wird quittiert mit http://img186.imageshack.us/img186/8932/rr2.png

(Avira disabled, als Admin gestartet)

Was sagt dir vdr?
Dann den nächsten, einer wird schon laufen.

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

Video disk recorder, kenn ich nur unter linux, da ist es ein TV-Recorder und Streaming Server. Sieht ok aus.

:)

Ok, scanning...

Hoppla, das ging schneller als erwartet:
Mist, sollte ich nicht Admin gewesen sein? Ich probiers nochmal...

Nee, ich hab es mit Rechtsklick - als Administrator ausgeführt. Trotzdem lauter Access Denieds. *kopfkratz*

Passt schon, that's M$.
Ebenttt. Ergibt überhaupt keinen Sinn an dieser Stelle, aber ist ja nicht so schlimm, ist ja nicht mein Rechner.

Du hast die Wahl zwischen Avenger und ComboFix. Mir persönlich wäre ComboFix lieber, ich vermute da noch mehr, ist aber deine Entscheidung.

ciao, andreas

Ok, danke. Auf geht's mit ComboFix...

Hosts-Datei ist ja eh nicht wild, ein 192.168er-Netz kann nix Böses sein (vor allem, wenn er zu Hause 192.168.1 hat :).

Dann macht es noch weniger Sinn. Der stört mich, wech damit. :kloppen:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ok, ComboFix hat das hier ausgeworfen Hoppla, da war ich etwas zu vorschnell. Ich hatte ComboFix nicht vorher umbenannt, aber ansonsten alles richtig gemacht (Antivir Guard gestoppt).

CCleaner hatte ich ja schon ganz am Anfang ordnungsgemäß ausgeführt.

Macht nix, ist nur notwendig bei den TDSS-Varianten. Die sind es hier aber nicht.

Deinstalliere (falls noch vorhanden):

• Favorit
• Google Update Helper

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Edit: Das hier könnte eine legitime Datei sein:
Falls die von dir angelegt wurde, müssen wir die wiederherstellen.

Edit2: Ist der VeohPlayer bewusst installiert worden?

Favorit ließ sich irgendwie nicht installieren, wird aber ohne Dateigröße angezeigt unter "Programme".

ComboFix wollte in dem Durchlauf einmal neu booten, wollte dann eine Internetverbindung und hat das Angehängte ausgespuckt (war zu groß für [.code.] und auch sogar als Zip zu groß, daher gekürzt:
Danach kam wieder die Meldung Kritischer Fehler und Windows hat neu gebootet. Der Reboot ließ sich auch nicht mit shutdown -a in der Konsole verhindern. Auch die entsprechene Einstellung in der Systemsteuerung wurde ignoriert.

Ist der VeohPlayer bewusst installiert worden?
Räume zum Schluß mit CCleaner die Registry auf, dann verschwindet der.
Das wird noch mehrfach auf dich zukommen. :)
In den Anhang kannst du IMHO 100kB txt-Dateien packen.

Das hier könnte eine legitime Datei sein:
Falls die von dir angelegt wurde, müssen wir die wiederherstellen.
Weil es soviel Spaß gemacht hat, gleich nocheinmal.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Voilà

[code]
Combofix Logfile:
--- --- ---